Hvis du vil konfigurere SSO for flere identitetsudbydere i din organisation, skal du se SSO med flere IdP'er i Webex.

Hvis din organisations certifikatbrug er indstillet til Ingen, men du stadig modtager en meddelelse, anbefaler vi, at du stadig fortsætter med opgraderingen. Din SSO-udrulning bruger ikke certifikatet i dag, men du har muligvis brug for certifikatet til fremtidige ændringer.

Webex-tjenesteydelse provider (SP)-certifikat

Fra tid til anden kan du modtage en e-mailmeddelelse eller få vist en meddelelse i Control Hub om, at Webex single sign-on (SSO)-certifikatet udløber. Følg processen i denne artikel for at hente SSO cloud-certifikatmetadata fra os (SP), og føj den tilbage til din IdP; Ellers vil brugerne ikke kunne bruge Webex-tjenesteydelser.

Hvis du bruger SAML Cisco (SP) SSO-certifikatet i din Webex-organisation, skal du planlægge at opdatere cloud-certifikatet i løbet af et regelmæssigt, planlagt vedligeholdelsesvindue så hurtigt som muligt.

Alle tjenester, der er en del af dit Webex-organisationsabonnement, påvirkes, herunder men ikke begrænset til:

  • Webex-appen (nye logons for alle platforme: desktop, mobil og internettet)

  • Webex-tjenester i Control Hub , inklusiveopkald

  • Webex Meetings-websteder, der styres via Control Hub

  • Cisco Jabber, hvis det er integreret med SSO

Før du begynder

Læs venligst alle vejledninger inden start. Når du ændrer certifikatet eller går igennem guiden for at opdatere certifikatet, kan nye brugere muligvis ikke logge ind.

Hvis din IdP ikke understøtter flere certifikater (de fleste IdP'er på markedet understøtter ikke denne funktion), anbefaler vi, at du planlægger denne opgradering i et vedligeholdelsesvindue, hvor Webex App-brugere ikke er berørt. Disse opgraderingsopgaver bør tage cirka 30 minutter i driftstid og efter validering.

1

Sådan kontrollerer du, om SAML Cisco (SP) SSO-certifikatet udløber:

  • Du har muligvis modtaget en e-mail eller webex-appmeddelelse fra os, men du skal kontrollere i Control Hub for at være sikker.

  • Log ind på Control Hub, og tjek dit Alert Center. Der kan være en meddelelse om opdatering af SSO Tjenesteudbyder certifikat.

  • Gå til Ledelse > Sikkerhed > Godkendelse.
  • Gå til fanen Identitetsudbyder og noter Cisco SP-certifikatets status og udløbsdato.

Du kan også gå direkte SSO i guiden for at opdatere certifikatet. Hvis du beslutter dig for at afslutte guiden, før du er færdig, kan du til enhver tid få adgang til den igen fra Administration > Sikkerhed > Godkendelse i Kontrolhub.

2

Gå til IdP'en, og klik på .

3

Klik på Gennemgå certifikater og udløbsdato.

4

Klik på Forny certifikat.

5

Vælg den type IdP, som din organisation bruger.

  • En IdP, der understøtter flere certifikater
  • En IdP, der understøtter et enkelt certifikat

Hvis din IdP understøtter et enkelt certifikat, anbefaler vi, at du venter for at udføre disse trin under planlagt nedetid. Mens det Webex certifikat opdateres, vil nye brugerlogon kortvarigt ikke virke. eksisterende log ind-programmer bevares.

6

Vælg certifikattypen for fornyelsen:

  • Selvsigneret af Cisco– Vi anbefaler dette valg. Lad os underskrive certifikatet, så du kun behøver at forny det én gang hvert femte år.
  • Signeret af en offentlig certifikatmyndighed— Mere sikker, men du skal ofte opdatere metadataene (medmindre din IdP-leverandør understøtter tillidsankre).

    Tillidsankre er offentlige nøgler, der fungerer som en myndighed til at bekræfte en digital underskrifts certifikat. Få yderligere oplysninger i din IdP-dokumentation.

    Før du fortsætter til de næste trin, skal du sørge for, at du er klar til at forny dit certifikat og arbejder inden for din organisations ændringsvindue. Hvis du vælger Selvsigneret Cisco eller Signeret af en offentlig certifikatmyndighed, oprettes der straks et nyt certifikat. Når certifikatet ændres for en enkelt IdP, stopper SSO, indtil certifikatet eller metadataene er uploadet til IdP'en. Derfor er det vigtigt at fuldføre fornyelsesprocessen.

7

Klik på download metadata-fil for at downloade en kopi af de opdaterede metadata med det nye certifikat fra WebEx Cloud. Hold denne skærm åben.

8

Naviger til din IdP-administrationsgrænseflade for at overføre den nye Webex-metadatafil.

9

Gå tilbage til den fane, hvor du loggede ind på Control Hub, og klik på Næste.

10

Opdater IdP'en med det nye SP-certifikat og metadata, og klik på Næste.

  • Alle IdP'erne blev opdateret
  • Hvis du har brug for mere tid til at opdatere, kan du gemme det fornyede certifikat som den sekundære mulighed
11

Klik på Færdiggør fornyelse.

Identitetsudbyder (IdP)-certifikat

Fra tid til anden kan du modtage en e-mailmeddelelse eller få vist en meddelelse i Control Hub om, at IdP-certifikatet udløber. Da IdP-leverandører har deres egne specifikke dokumentation for certifikatfornyelse, dækker vi, hvad der kræves i Control Hub, sammen med generiske trin til at hente opdaterede IdP-metadata og overføre dem til Control Hub for at forny certifikatet.

1

Sådan kontrollerer du, om IdP SAML-certifikatet udløber:

  • Du har muligvis modtaget en e-mail eller webex-appmeddelelse fra os, men du skal kontrollere i Control Hub for at være sikker.
  • Log ind på Control Hub, og tjek dit Alert Center. Der kan være en meddelelse om opdatering af IdP SAML-certifikatet:

  • Gå til Ledelse > Sikkerhed > Godkendelse.
  • Gå til fanen Identitetsudbyder og noter IdP-certifikatets status (udløbet eller udløber snart) og udløbsdatoen.

  • Du kan også gå direkte SSO i guiden for at opdatere certifikatet. Hvis du beslutter dig for at afslutte guiden, før du er færdig, kan du til enhver tid få adgang til den igen fra Administration > Sikkerhed > Godkendelse i Control Hub.

2

Naviger til din IdP administrationsgrænseflade for at hente den nye metadatafil.

  • Dette trin kan udføres via en browserfane, RDP (Remote Desktop Protocol) eller via specifik support fra cloud-udbyderen, afhængigt af din IdP-opsætning, og om du eller en separat IdP-administrator er ansvarlig for dette trin.
  • Du kan få flere oplysninger i vores SSO integrationsvejledninger eller kontakte din IdP-administrator for support.
3

Gå tilbage til fanen Identitetsudbyder.

4

Gå til IdP'en, klik på overfør og vælg Upload Idp-metadata.

5

Træk og slip din IdP-metadatafil ind i vinduet, eller klik på Vælg en fil og upload den på den måde.

6

Vælg Mindre sikker (selvunderskreven) eller mere sikker (underskrevet af en offentlig CA), afhængigt af hvordan dine IdP-metadata underskrives.

7

Klik på Test SSO-opdatering for at bekræfte, at den nye metadatafil blev uploadet og fortolket korrekt til din Control Hub-organisation. Bekræft de forventede resultater i pop op-vinduet, og hvis testen var vellykket, skal du vælge Testen var vellykket: Aktivér SSO og IdP'en og klik på Gem.

For at se SSO-loginoplevelsen direkte anbefaler vi, at du klikker på Kopiér URL til udklipsholder fra denne skærm og indsætter den i et privat browservindue. Derfra kan du gennemgå loginprocessen med SSO. Dette bidrager til at fjerne eventuelle oplysninger gemt i din webbrowser, som kan give et falsk positivt resultat, når du tester din SSO-konfiguration.

Resultat: Du er færdig, og din organisations IdP-certifikat er nu fornyet. Du kan til enhver tid kontrollere certifikatets status under fanen Identitetsudbyder.

Du kan eksportere de seneste Webex SP-metadata, når du har brug for at tilføje dem tilbage til din IdP. Du får vist en meddelelse, når den importerede IdP SAML-metadata udløber eller er udløbet.

Dette trin er nyttigt i almindelige IdP SAML certifikatadministration-scenarier, såsom IDP'er, der understøtter flere certifikater, hvor eksport ikke blev udført tidligere, hvis metadataene ikke blev importeret til IdP, fordi en IdP-administrator ikke var tilgængelig, eller hvis din IdP understøtter muligheden for kun at opdatere certifikatet. Denne valgmulighed kan hjælpe med at minimere ændringen ved kun at opdatere certifikatet i SSO konfiguration og validering efter begivenheden.

1

Log ind på Control Hub.

2

Gå til Ledelse > Sikkerhed > Godkendelse.

3

Gå til fanen Identitetsudbyder.

4

Gå til IdP'en, klik på Download og vælg Download SP-metadata.

Webex-appens metadatafilnavn er idb-meta-<org-ID>-SP.xml.

5

Importer metadataene til din IdP.

Følg dokumentationen for din IdP for at importere Webex SP-metadata. Du kan bruge vores IdP-integrationsvejledninger eller rådføre dig med dokumentationen for din specifikke IdP, hvis den ikke er angivet.

6

Når du er færdig, skal du køre SSO-testen ved hjælp af trinnene i Forny Webex-certifikat (SP) i denne artikel.

Når dit IdP-miljø ændres, eller hvis dit IdP-certifikat udløber, kan du importere de opdaterede metadata til Webex til enhver tid.

Før du begynder

Indsamd din IdP-metadata, typisk som en eksporteret xml-fil.

1

Log ind på Control Hub.

2

Gå til Ledelse > Sikkerhed > Godkendelse.

3

Gå til fanen Identitetsudbyder.

4

Gå til IdP'en, klik på overfør og vælg Upload Idp-metadata.

5

Træk og slip din IdP metadata-fil i vinduet, eller klik på Vælg en metadata-fil, og overfør den på den måde.

6

Vælg Mindre sikker (selvunderskreven) eller mere sikker (underskrevet af en offentlig CA), afhængigt af hvordan dine IdP-metadata underskrives.

7

Klik på Test SSO-opsætning, og når en ny browserfane åbnes, skal du godkende med IdP'en ved at logge ind.

Du vil modtage varsler i Control Hub, før certifikaterne udløber, men du kan også proaktivt opsætte regler for påmindelser. Disse regler giver dig besked på forhånd om, at dine SP- eller IdP-certifikater udløber. Vi kan sende disse til dig via e-mail, et rum i Webex-appeneller begge dele.

Uanset den leverede kanal, der er konfigureret, vises alle varsler altid i Control Hub. Se Alerts Center i Control Hub for yderligere oplysninger.

1

Log ind på Control Hub.

2

Gå til Alarmcenter.

3

Vælg Administrer og derefter Alle regler .

4

Fra listen Regler skal du vælge de SSO regler, som du vil oprette:

  • SSO IDP-certifikat udløber
  • SSO SP-certifikat udløber
5

I afsnittet Leveringskanal skal du markere feltet for E-mail, Webex-rumeller begge dele.

Hvis du vælger E-mail, skal du indtaste e-mailadressen, der skal modtage underretningen.

Hvis du vælger valgmuligheden Webex-rum, bliver du automatisk tilføjet til et rum i Webex-appen, og vi leverer underretningerne der.

6

Gem dine ændringer.

Hvad er næste trin?

Vi sender certifikatudløbsvarsler en gang hver 15. dag, fra og med 60 dage før udløb. (Du kan forvente advarsler på dag 60, 45, 30 og 15.) Advarsler stopper, når du fornyer certifikatet.

Du kan muligvis se en meddelelse om, at URL'en til enkeltlogout ikke er konfigureret:

Vi anbefaler, at du konfigurerer din IdP til at understøtte Single Log Out (også kendt som SLO). Webex understøtter både omdirigerings- og postmetoden, der er tilgængelige i vores metadata, som downloades fra Control Hub. Ikke alle identitetsudbydere understøtter SLO; kontakt venligst dit IdP-team for assistance. Nogle gange, for de store IdP-leverandører som AzureAD, Ping Federate, ForgeRock og Oracle, der understøtter SLO, dokumenterer vi, hvordan integrationen konfigureres. Tjek din identitet & Sikkerhedsteamet om detaljerne i din IDP og hvordan du konfigurerer den korrekt.

Hvis en enkelt logout-URL ikke er konfigureret:

  • En eksisterende IdP-session forbliver gyldig. Næste gang brugere logger ind, bliver de muligvis ikke bedt om at give et igen af IdP'en.

  • Vi viser en advarsel ved log ud, så Webex App log ud ikke sker problemfrit.

Du kan deaktivere disse single sign-on (SSO) for din Webex-organisation, der administreres i Control Hub. Du kan deaktivere SSO, hvis du skifter identitetsudbydere (IdP'er).

Hvis single sign-on er aktiveret for din organisation, men ikke er det, kan du engagere din Cisco-partner, som har adgang til din Webex-organisation, for at deaktivere den for dig.

1

Log ind på Control Hub.

2

Gå til Ledelse > Sikkerhed > Godkendelse.

3

Gå til fanen Identitetsudbyder.

4

Klik på Deaktiver SSO.

Der vises et pop op-vindue, der advarer dig om at deaktivere SSO:

Deaktiver SSO

Hvis du deaktiverer SSO, administreres adgangskoder af -skyen i stedet for din integrerede IdP-konfiguration.

5

Hvis du forstår indvirkningen af deaktivering af SSO og ønsker at fortsætte, klik på Deaktiver.

SSO deaktiveres, og alle SAML-certifikatlister fjernes.

Hvis SSO er deaktiveret, vil brugere, der skal godkende, se et felt til indtastning af adgangskode under loginprocessen.

  • Brugere, der ikke har en adgangskode i Webex-appen, skal enten nulstille deres adgangskode, eller du skal sende en e-mail, så de kan indstille en adgangskode.

  • Eksisterende godkendte brugere med et gyldigt OAuth-token vil fortsat have adgang til Webex-appen.

  • Nye brugere, der er oprettet SSO deaktiveret, modtager en e-mail, hvor de bliver bedt om at oprette en adgangskode.

Hvad er næste trin?

Hvis du eller kunden omkonfigurerer SSO for kundeorganisationen, vender brugerkonti tilbage til at bruge den adgangskodepolitik, der er angivet af den IdP, der er integreret med Webex-organisationen.

Hvis du støder på problemer med dit SSO-login, kan du bruge SSO-selvgendannelsesmuligheden til at få adgang til din Webex-organisation, der administreres i Control Hub. Med selvgendannelsesfunktionen kan du opdatere eller deaktivere SSO i Control Hub.